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^ ■ Basierend auf dem Kryptosystem von Paillier [5] und dem damit eingefuhrten Pro- 

blem der zusammengesetzten Residuenklasse werden in diesem Artikel zwei krypto- 
' graphische Verfahren vorgeschlagen. Zunachst wird die Signatur von Paillier in cin 

blindes Signaturverfahren umgewandelt. Dabei wird aus einer verblendeten Nachricht 
eine blinde Signatur erzeugt, so dass man dann in der Lage ist, daraus eine giiltige 
Signatur der urspriinglichen Nachricht zu berechnen. Des Weiteren wird mit der ho- 
momorphen Eigenschaft des Kryptosystems von Paillier ein sogenanntes Three-Pass- 
Protocol - auch No-Key-Protocol genannt - entwickelt. Das Protokoll erlaubt zwei 
Tcilnehmern, eine Nachricht ohne vorherigen Schliisselaustausch vertraulich zu iiber- 
mitteln. 
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1 Grundlagen 



> 
oo 

o 

Um den Artikel verstandlicher zu machen, werden in diesem Abschnitt relevante mathematische 
Grundlagen des Kryptosystems von Paillier eingefiihrt. Alle Berechnungen werden modulo n 2 
durchgemhrt, die Berechnungsgruppe ist also Z* 2 mit Einselement. 



Definition 1.1. Ein Zahl z G Z* 2 ist ein n-Residuum modulo n 2 , wenn es eine Zahl y 6 Z* 2 gibt, 
so dass gilt: 



j_j | z = y n mod n l 



Da der Residuumsgrad die zusammengesetzte Zahl n ist, spricht man von zusammengesetztem 
Residuum. Die Menge der n-Residuen ist eine multiplikative Untergruppe von Z* 2 der Ordnung 
4>(n). Die Zahl y heifit Residuumswurzel oder kurz Wurzel. Jedes n-Residuum z hat genau n 
Residuumswurzcln. Die Menge allcr Wurzel von z wird mit Roots(z) bezeichnet. Es gibt genau 
eine Wurzel in Roots(z), die kleiner als n ist und mit tfz — z 1 / 71 mod A mod n bezeichnet wird: die 
Hauptwurzel. Die Wurzel des Einselemcmts sind Zahlen der Form (1 + n) x = 1 

Lemma 1.2. Es gilt Roots(l) = (1 + n). 



Beweis. Roots(l) ist offensichtlich eine Untergruppe von Z* 2 und es gilt ord(l + n) = n. Nun sei 
g G (1 + n), dann gilt g = (1 + n) k und ord(g) = — — , die ein Teiler von n ist, d.h. g G 

Roots(l). Ferner haben die beiden Menge die gleiche Ordnung, woraus die Behauptung folgt. □ 
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Nun sei u = (1+n) £ Roots(l). Da i < n gilt, ist t der diskrete Logarithmus von u zur Basis 1 + 

u — 1 

Aus dcr Gleichung u — (1 + n)* = 1 + in mod n 2 folgt i = . Daher ist fiir alio u £ Roots(l) 

n 

die Funktion 

u-1 
L : u H> 

n 

wohldcfiniert. 

Definition 1.3. Eine Residuenbasis ist cine Zahl g £ Z* 2 , deren Ordnung durch n teilbar ist. 

Diese Definition reicht aber nicht aus, um eine Residuenbasis algorithmisch auswahlen zu konnen. 
Folgende Lemmata sollen deshalb eine effiziente Auswahl einer Residuenbasis ermoglichen. 

Lemma 1.4. Sei g = (l + n) k . Dann ist g genau dann eine Residuenbasis wenn gilt: ggT(k, n) = 1. 

Beweis. Ist g = (1 + n) k eine Residuenbasis, dann ist n ein Teiler von ord(g). Gelte nicht 
ggT(k, n) = 1, dann ist k entweder gleich p oder q oder n. 

Falls k = p (bzw. q ) dann gilt ord(g) — q (bzw. p). Falls k = n, dann gilt ord(g) = 1. Dies stent 
im Widerspruch zur Annahme und somit muss ggT(k 1 n) = 1 gelten. 

Gilt umgekehrt ggT(k,n) — 1, dann gilt 

.jl s ord(l + n) n 

ord((l +n) k ) - 



ggT(ord(l + n),k) ggT(n,k) 



Lemma 1.5. Eine Zahl g 6 Z* 2 ist genau dann eine Residuenbasis wenn gilt: 



□ 



ggT(L(g x mod n 2 ), n) = 1. (1) 

Beweis. Nach Carmichael (Lemma 1.13) gilt g x = 1 mod n. Daraus folgt g x = 1 + kn mod n 2 
fiir ein k £ Z n . L(g A mod n 2 ) liefert fc und das voherige Lemma beendet den Beweis. □ 

Residuenbasen sind der Grundbaustein fiir die Verschlussclungsfunktion des Kryptosystems von 
Paillier. Sei g £ Z* 2 eine Residuenbasis, dann kann man zeigen , dass sich jedes Element w £ Z* 2 
als w = g x ■y n eindeutig darstellen lasst [7]. Dies wird als Reprasentation von w nach g bezeichnet. 
Folgende Funktion ist von daher wohldcfiniert: 

E g : Z„ x Z; H. Z; 2 

(x, y) H> g x ■ y n mod n 2 



Lemma 1.6. Die Funktion E g ist bijektiv. 

Beweis. Es gilt |Z„ x Z*| = n • (j>(n) — |Z* 2 |. Es bleibt also die Injektivitat zu zeigen. Seien 
(ii, Zi), (x2, Z2) £ Z n x Z*, mit z\ und Z2 n-Residuen und angenommen E g [x\,Z\) = E g {x2,Z2). 
Daraus folgt g Xl ■ z\ = g X2 ■ Z2 g 12 " 11 • ■ z{" 1 = 1. Aus der Eindeutigkeit der Darstellung des 
Einselcmcnts folgt x± — X2 und z\ — Z2- 

□ 

Die Funktion E g ist die Verschliisselungsfunktion des Kryptosystems von Pailier. Mit D g soli ihre 
Umkchrfunktion bezeichnet wcrden. 
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Definition 1.7. Sei g eine Residuenbasis und w <G Z* 2 . Die n-Residuenklasse [[iu]] von w nach g 
ist die eindeutige Zahl x, so dass gilt: w — g x ■ z. Die Zahl z ist das dazugehorige Residuum res g w. 

Aus diescr Definition lassen sich folgende Eigenschaften der Residuenklasse heraustellen. 
Lemma 1.8. 

i. V w G Z* 2 [[w]] g = genau dann wenn w ein Residuum ist. 

ii. Die Funktion, die jedem Element von Z* 2 seine Klasse zuweist, ist eine additiver Homomor- 
phismus. Es gilt also: 

Mw u w2 € Z; 2 [[wi«i 2 ]] 9 = [K]] 9 + [[w 2 ]] g mod n. (2) 

Hi. (Klassenformel) Vgi, 52 Residuenbasen und Vw £ Z* 2 gilt: 

[N] 32 = [M] 91 [Mg, mod n (3) 

Beweis. 

i. Aus [[«>]] = folgt w = g°z = z ist cin Residuum. Sei umgekehrt w ein Residuum, dann 
gilt w — g°w, und damit gilt [[w]] = 0. 

ii. Seien w\ — g Cl zi und w 2 = g C2 Z2- Es gilt: wiw 2 = g Cl+C2 ziz 2 . Aus der Eindeutigkeit der 

Representation folgt [[wi]] g [[w 2 ]] g = [[wi]] g + [[w 2 }] g mod n. 
Hi. Seien g\, g 2 Residuenbasen und w £ Z* 2 . Es gilt w — g^zi, g\ — ggfl und 
ac\ — (aci div n)n + (ac\ mod n). Daraus folgt 

w - (^/3) Cl z! = g^^zx = g 2 aci dlv ™)"+( QCl mod n ^^ Zl = g^ Cl mod n (g^ Cl dlv ™)"/3 Cl zi 
und dies ist eine Representation von w nach g 2 , denn (g 2 Cl %v n ) a fic\Z\ ist ein Residuum 
und [[w]] gi = ci und \[gi]\ g2 = a. 

□ 

Als Verschliisselungsfunktion muss E g die Einwegeigenschaft erfiillen, d.h. einfach zu berechnen 
und schwierig zu invertieren sein; die Invertierung soil aber mit dem geheimen Schliissel einfach be- 
rechenbar sein. Diese Funktion ist offensichtlich mit der schncllen Potenzierung einfach zu berech- 
nen. Um die Invertierung durchfiihrcn zu konnen, muss man aus der Representation w = g x • y n 
in der Lage sein, die Residuenklasse x zu berechnen. Dariiber hinaus wird in dem Kryptosystem 
y zufallig ausgewahlt. Dies garantiert die sogenannte semantische Sicherheit: der gleiche Klartext 
wird auf verschiedene Chiffretexte abgebildct. Um dann zwci Chiffrctextc des gleichen Klartextes 
unterscheiden zu konnen, muss der Angrcifer die Residuositat entscheiden konncn. 

Definition 1.9. Problem der Residuenklasse. Sei w € Z* 2 , berechne die Klasse von w. Dieses 
Problem wird mit CLASS[n] bezeichnct. 

Definition 1.10. Problem der Entscheidbarkeit der Residuositat. Sei w € Z* 2 , entscheide, 
ob w ein Residuum ist. Dieses Problem wird CR[n] bezeichnet. 

Auf diesen beiden Problemen und dem Faktorisierungproblem des RSA-Moduls n basiert die 
Sicherheit des Kryptosystems von Paillicr. Es ist nicht leicht zu beweisen, das deren Berechnungen 
schwierig sind; man kann es nur vermuten. 

Vermutung 1.11. Composite Residuosity Assumption. Wenn die Faktorisierung von n hart 
ist, gibt es keinen Algorithmus, der CR[n] in polynomialer Zeit lost. Diese Vermutung wird mit 
CRA bezeichnet und garantiert die semantische Sicherheit. 

Vermutung 1.12. Computational Composite Residuosity Assumption. Wenn die Fakto- 
risierung von n hart ist, dann gibt es keinen Algorithmus, der der CLASS[n] in polynomialer Zeit 
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lost. Diese Vermutung wird als CCRA bezeichnet. Die Komplexitat des Problems der Residuen- 
klasse CLASS [n] garantiert die Einwegeigenschaft. 

Diese Vermutungen garantieren die semantische Sicherheit und die Einwegeigenschaft. Kennt man 
aber den geheimen Schliisscl A, ist man in der Lage, die Entschliissclung einfach durchzufuhren. 

Lemma 1.13 Carmichael. Sei w <G Z* 2 , Es gelten: 

w x = 1 mod n und w nX = 1 mod n 2 . 



Lemma 1.14. Sei w € Z* 2 , es gilt: 

L(w x mod n 2 ) = X [[w]] 1+n mod n. 

Beweis. Aus Lemma 2.4 folgt, dass 1 + n eine Residuenbasis ist. Das Element w ist also nach 1 + n 
reprasentierbar und es gibt eine eindeutiges Paar (a, y) G Z„ x Z* , so dass w = (l + n) a y n mod n 2 
gilt. Also H] 1+n = a. 
Nun 

w x = (l + n) aX y nX 
(l + n) aX y nX 
= 1 + aXn mod n 2 

Daraus folgt: 

L(w x mod n 2 ) = — — mod n = a\ mod n = A [[io]] 1+n mod n 



□ 



Korollar 1.15. Scicn g Residuenbasis und w e Z* 2 , Es gilt: 



L(w A mod n 2 ) 

H= ^ modn 2) ^n. (4) 

Beweis. Wegen der Klassenformel von Lemma 1.8 (3) gilt 1 = [[1 + n]] 1+n = [[w]] [[g]]i +n - Daraus 
folgt, dass [[ff]] 1+ „ = [[1 + n]]~ 1 mod n invertierbar mod n ist. Damit ist auch L(g x mod n 2 ) = 
A[[g]] 1+n invertierbar, da ggT(X,n) — 1 gilt. Aus der Klassenformel wiederum gilt [[u>]] 1+ „ = 
N] fl [[ff]]i+„- Daraus folgt: 

rr [Mli+„ A [N]i+„ L(w x mod n 2 ) 

[HI - 



[[9}} 1+n A[[s]] 1+n L(^modn 2 )- 



□ 



Der letzte Satz gibt also eine Formel (4) fur die Berechnung der Klasse eines Elements w € Z* 2 , die 
benutzt wird, um das Vcrfahrcn zu cntschliisseln. Die Berechnung ist offcnsichtlich bei bekanntcm 
geheimem Schliisscl A leicht durchzufiihrcn. 
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2 Probabilistisches Schema 



Im folgendem Kryptosystem wird eine Residuenbasis mit der Gleichung (1) ausgewahlt, eine Nach- 
richt mittels der Funktion E g verschliisselt und der Formel aus Gleichung (4) entschliisselt. Auf 
Basis dieses Kryptosystems hat Paillier auch eine Einweg-Falltiirpermutation und ein Signatur- 
verfahren entwickelt. 



Schliisselgenerierung 


Grofie Primzahlen p und q selber Lange (p ^ q) : n — pq, 
Residuenbasis g £r Z* 2 mit ggT(L(g x mod n 2 ),n) = 1 
Offcntlicher Schliissel: (n,g), 

Privater Schliissel: (p, q) bzw. A = kgV{p — 1, q — 1) 


Verschliisselung 


Klartext: m £ Z n , 




Zufallszahl: x £r Z* , 




Chiffretext: c = g m x n mod n 2 


Entschlusselung 


Chiffretext: c < n 2 , 

L(c x mod n 2 ) 

Klartext: m = . — — mod n 

L{q A mod n z ) 



Bemerkung 2.1. Das obige Kryptosystem ist wegen der Zufallzahl x probabilistisch. Die Kor- 
rektheit wurde mit Korollar 1.15 bewiesen. Die Sicherheit basiert auf den obigen vorgestellten 
Problemen. 

Theorem 2.2. Das probalistische Kryptosystem von Paillier hat genau dann die Einwegeigen- 
schaft wenn CCRA gilt. 

Theorem 2.3. Das probalistische Kryptosystem von Paillier ist genau dann semantisch sicher, 
wenn CRA gilt. 

Beweis. Seien mo, mi zwei Klartexte und c ein Chiffretext eines von den Beiden. Urn die seman- 
tische Sicherheit zu brechen, muss der Angreifer entschciden konnen, wessen Chiffretext c ist. Fur 
i G {0, 1} ist c ein Chiffretext von rrii genau dann, wenn cg~ mi mod n<i ein n-Residuum ist. Der 
Angreifer muss also in der Lage sein CRA zu losen. □ 

Da der Klartext m S Z„ und c < n 2 hat dieses Schema einen ExpansionsfaktoiQ von 
{log(n)) / (log{n 2 )) — 1/2, d.h. der Chiffretext ist doppelt so lang wie der Klartext. Dies kann 
verbessert werden indem m aus Z„2 ausgewahlt und als Paar (mi,W2) von Zahlen dargestellt 
wird, wobei ggT{rri2, n) = 1 und m\ < n gelten miissen. Das resultierende System ist eine Einweg- 
Falltiirpermutation. Paillier hat die n-adische Darstellung von m vorgeschlagen. Es wird zuniichst 
das System wie in [3] vorgestellt und dann dessen Korrektheit diskutiert. 



Schliisselgenerierung Grofie Primzahlen p und q selber Lange (p ^ q) : n = pq, 

Residuenbasis g £r Z* 2 mit ggT(L{g x mod n 2 ),n) = 1 
Offcntlicher Schliissel: {n,g), 

Privater Schliissel: (p, q) bzw. A = kgV(p — 1, q — 1) 

Verschliisselung Klartext: m £ Z„2, mi = m mod n und mi — m div n, 
Chiffretext: c = g mi m% mod n 2 

Entschlusselung Schrittl: mi = ^fe mod n 

Schritt 2: z — cg~ mi mod n, 
Schritt 3: m 2 = z 1/n mod x mod n, 
Schritt 4: Klartext m = m-in + mi 

1 Verhaltnis zwischen der Lange des Klartextes und der des Chifrretextes. 



5 



Die Entschliissclung der Einwcg-Falltiirpermutation wird in vier Schritten durchgcfiihrt. Im ersten 
Schritt wird mi mit (4) berechnet. Das Residuum z = res g c wird im zweiten Schritt berechnet. 
Im dritten Schritt wird m 2 als die Hauptwurzel von z berechnet. Die n-adische Entwicklung von 
m wird im vierten Schritt berechnet und damit ist der Klartext gewonnen. Mit der n-adischen 
Darstellung m — m2ii + mi gilt aber nicht immer ggT(m2,n) = 1 und damit kann das Schema 
nicht fur alle Klartexte korrekt sein. 

Bemerkung 2.4. Ist der Klartext m kleiner n, dann gilt m 2 = und damit c = 0. Daher konnen 
Klartexte kleiner als n nicht verschliisselt werden. Das Schema ist in diesem Fall deterministisch 
und kann daher nicht semantisch sicher sein. 

3 Eigenschaften 

In diesem Abschnitt werden zwei Eingcnschftcn des probalistischen Kryptosystems von Paillier 
vorgestellt, die wichtig sind, um kryptographische Protokolle zu entwickeln. 

3.1 Homomorphie 

Beziiglich der Anwendungen ist diese Eigenschaft die wichtigstc und folgt aus dem additiven 
Homomorphismus von Lemma 1.8 (2). 

Seien m, mi, m 2 € Z n , k e N und g eine Residuenbasis, so gelten folgcndc Gleichungen: 



D g {Eg{mi)Eg{m2) mod n 2 ) = mi + m 2 mod n (5) 

Dg(E g (m) k mod n 2 ) = km mod n (6) 

D g (E g (mi)g m2 mod n 2 ) = mi + m 2 mod n (7) 

Dg{E g {m\) m2 mod n 2 ) = mim 2 mod n (8) 



Dicse Eigenschaft ist notwcndig, um kryptographische Protokolle zu entwickeln, bei denen mit 
verschlusscltcn Daten gercchnct werden muss. Dazu zahlen beispielsweisc elektronischc Wahlen, 
Secret Sharing, Copyright etc. Das im 5. Abschnitt vorgestellte Three-Pass-Protokoll basiert auf 
Gleichung (8). 

3.2 Self-Blinding 

Mit dicscr Eigenschaft ist es moglich, einen Chiffretext in einen anderen Chiffretext umzuwandcln, 
ohne den jeweiligen Klartext zu kenncn. 

Fur alle meZ„, ieZ*, reN und g eine Residuenbasis gelten die Beziehungen: 

D g (Eg(m)x n mod n 2 ) = m (9) 
D g (Eg(m)g nr mod n 2 ) = m (10) 

Wie blinde Signaturen ermoglicht diese Eigenschaft die Entwicklung von kryptographischen Pro- 
tokollen wie elektronischen Zahlungssystemen, bei denen die Anonymitat gefordert wird. 

4 Digitale Signatur 

Um mit dem probabilistischen Kryptosystem signicrcn zu konnen, konstruicrt Paillier folgendcs 
Signaturvcrfahrcn, bei dem die Schliisselgenerierung erhalten bleibt. 
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Signaturalgorithmus Klartext: m € Z* 2 , 

L(m x mod n 2 



si = -m, T^I\ mod 

L(g A mod n z ) 

s 2 = (mg- Sl ) 1 / nmod x modn, 

Signatur: cr(m) = (si,S2) 



Verifikationsalgorithmus to = g Sl S2 mod n 2 



Korrektheit g Sl S2 = 9 Slm 9 Sl = ff ai S 



In der Praxis wird nicht der Klartext to selbst signiert, sondern dessen Hashwert. Dafiir wird eine 
Hashfunktion h : N n- {0, 1} C Z* 2 benotigt. Man ersetze also im obigen Schema to durch 
h(m). 

Manchmal ist es wiinschenswert, dass der Inhalt der Nachricht dem Signierer geheim bleibt. Dieses 
Problem wurde in [2] von David Chaum mit blinden digitalen Signaturen gelost. Dabei signiert 
ein Teilnehmer B eine Nachricht fur einen anderen Teilnehmer, ohne den Inhalt der Nachricht 
nachvollziehen zu konnen. 

Definition 4.1. Ein blindcs digitales Signaturschema ist ein Signaturschema mit folgenden zu- 
satzlichcn Eigcnschaften: 

• Es gibt zwei Teilnehmer: den Signierer und den Provider 

• Nur der Signierer kann eine Signatur erzeugen 

• Der Provider kennt allein eine invertierbare Funktion, mit der er seine Nachricht blenden 
kann, bevor sie zum Signieren geschickt wird. 

Sei n ein RSA-Modul, e bzw. d der offentliche bzw. private RSA-Schliissel. Folgendes Beispiel von 
D. Chaum erlautert, wie man mit RSA eine Nachricht to blind signieren kann. 

Beispiel 4.2. Der Provider will seine Nachricht m blind signieren. Er blendet m, indem er eine 
Zufallzahl rgj;Z* auswahlt und M — mr e mod n berechnet. Der Signierer bekommt die Nachricht 
M und versieht sie mit der RSA-Signatur a(M). Um die Signatur der urspriinglichcn Nachricht 
m zu bekommcn, multipliziert der Provider a(M) mit r" 1 . Denn es gilt: 

cr(M) = M d = (mr e ) d = m d r ed = m d r = a{m)r mod n. 

Es kann ohne zusiitzliche Schwierigkeit verifiziert werden, dass <j(m) tatsachlich eine Signatur von 
m ist. Das Prinzip von Chaum wird nun auf das Signaturschema von Paillier angewendet und 
fuhrt damit ein Signaturverfahren ein, das ermoglicht, blinde Signaturen zu erzeugen. 

Theorem 4.3. Seien x Er Z*, m Gr Z* 2 eine Nachricht und M — mi" eine Vcrblcndung von m. 
Fcrncr sei a(M) = (si,S2) die Paillier-Signatur von M. Dann ist a(m) = (si,S2X mod n) eine 
giiltige Signatur von m. 

Beweis. Es gilt: 

M x mod n 2 = (mx n ) x mod n 2 = m x x nX mod n 2 = m x mod n 2 , 

da aus dem Satz von Carmichael x nX = 1 mod n 2 gilt. 
Also die Signatur a{M) = (si, s%) mit: 

L(M X mod n 2 ) L(m x mod n 2 ) 

1 L(g x mod n 2 ) L(g x mod n 2 ) 

und 



7 



s 2 = (mx n g- Sl ) 1 / n mod A mod n 

= (m.g- Sl ) 1 /" modA (a;™) 1 /" modA modn 
i(m.g- Sl ) 1 /" modA modn 

Eine giiltige Signatur von m ist also ct(to) — (si, S2£~ 1 mod n). □ 

5 Three-Pass-Protocol 

5.1 Definition 

Ein Three-Pass-Protocol ist ein Protokoll, das erlaubt eine Nachricht vertraulich ohne Schliissel- 
austausch zu senden. Sender und Empfanger miissen dabei genau drei verschliisselte Nachrichten 
austauschen, daher der Name. Das Protokoll bcnutzt cine Chiffricrfunktion E mit privatem Chif- 
frierscliliisscl e und eine Dcchiffrierfunktion D mit ebenfalls privatem Dechiffrierschliissel d, so 
dass D(d,E(e,m)) = m gilt. Die Verschliisselung soil kommutativ sein, das heifit es soli fur alle 
Schliissel a und b und alle Nachrichten m gelten: E(a, E(b,m)) = E(b, E(a,m)) und umgekchrt 
D(d, E(k, E(e, to))) = D(d, E(e, E(k, to))) = E(k, to). 

Urspriinglich wurde das Protokoll von Adi Shamir eingefiihrt und wird als Shamir No-Key-Protocol 
bezeichnet, weil Sender und Empfanger keinen Schliissel austauschen. Es wird zunachst das Pro- 
tokoll von Shamir vorgestellt und im Anschluss daran ein No-Key-Protocol basierend auf dcm 
Kryptosystem von Paillicr eingefiihrt. 

5.2 Three- Pass- Protocol von Shamir 

Jeder Teilnehmer besitzt zwei private Schliissel jeweils fur Ver- und Entschhisselung. Das Protokoll 
basiert auf Potenzierung modulo einer grofien Primzahl p. Teilnehmer T erzeugt fur die Kommu- 
nikation einen Schliissel er mit ct < p — 1 welcher relativ prim zu p — 1 ist. Dann bestimmt er 
das Inverse dr von modulo p — 1 , es gilt also ex * g?t = 1 mod p — 1. Aufgrund des kleinen 
Satzes von Fertmat gilt fur alle Nachrichten to: 

(m eT ) dT = m eT * dT = m fe*(P" 1 )+ 1 ee to mod p 

Das Protokoll ist dem Verfahren von Difhe und Hellman schr ahnlich, jedoch ohne Schlusselaus- 
tausch. A und B seien die zwei Teilnehmer des Verfahrens. A mochte eine Nachricht m an B 
scndcn. Er berechnet Mi = m eA mod p und sendet Mi zu B. B potcnziert Mi mit seinem 
privatcn Schliissel und sendet M2 = M^ B = m eA * eB mod p zu A. A entschliisselt M2 indem er 
M3 = M^ A = (rn eA * eB ) dA vao&p = m CB mod p berechnet. Dann erhalt B M3 und kann nun die 
urspriingliche Nachricht mit M d B = (m eB ) dB mod p = to mod p berechnen. 

Eine Verbesserung ist das Massey-Omura Kryptosystem mit Potenzierung in dem Galoiskorpcr 
GF(2 n ) . Die Sicherheit ist gewahrleistet, da der Angreifer keine Information iiber die Nachrichten 
Mi, M2 und M3 herleiten kann. Beide Verfahren sind anfallig gcgcn Man-In-The-Middle-Attacken. 
Aufgrund des Problems des diskreten Logarithmus ist es jedoch unmoglich, die Schliissel der 
Teilnehmer aus einem der ausgetauschten Chiffretexte zu erschlieBen. 

5.3 Three-pass-Protocol mit Paillier 

In diesem Abschnitt wird ein Thrce-Pass-Protocol basierend auf dem Paillier-Kryptosystem vor- 
geschlagen. Zum Verfahren von Shamir gibt es zwei wesentliche Unterschiede: 

• das hier beschriebene Protokoll benutzt anstelle der Kommutativitat die homomorphe Eigen- 
schaft des Paillier-Kryptosystems. Denn es gilt: 

D((E{mi)) m ' 2 mod n 2 ) = toito 2 mod n. 
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• nur der Sender besitzt Schliissel, und nur er muss verschliisseln. Der Empfanger berechnet 
nur eine modulare Potenz und am Ende eine Multiplikation mit einer Inversen. 

A mochte eine Nachricht mi zu B senden. 

1. A verschliisselt mi mit Paillier, in dem er Mi = g mi y n mod n 2 berechnet. Er sendet Mi 
zu B. 

2. B wahlt eine Nachricht m.2 < n mit ggT(m2, n) = 1 und damit potenziert er Mi: 

Mi = M™ 2 mod n 2 = (g mi y n ) m2 mod n 2 = g™i™'( y ™»)" mo d n 2 

B sendet Mi zuriick zu A. 

3. Mit der Entschliissehmg von Paillier berechnet A M3 = D(Mi) = m\mi mod n. 

4. B bekommt die Zahl M3 und berechnet M3 * m^ 1 mod n, und es kommt mi heraus. 

6 Sicherheit des Protokolls 

Die Nachrichten Mi und Mi sind Paillier-Chiffres und somit unter den Annahmen des zusam- 
mengesetztem Residuums sicher. Aus M3 kann der Angreifer vermutlich keine Information uber 
mi bekommen, wenn mi zufallig ausgewahlt wird. Eine bessere Sicherheit erhalt man indem das 
Prinzip von David Chaum benutzt wird. Dabei wahlt B nicht irgendeine Zahl mi sondern er 
wahlt mi als rt-Residuum modulo n. Das heiBt B wahlt zufallig eine Zahl x Z* und berechnet 
mi — x n mod n. Dies fiihrt dazu, dass M3 die Form M3 = m\x n mod n hat, die nach Chaum 
eine Verblendung von mi und somit sicher ist. 

Das Protokoll ist wie beim Diffie-Hellman-Schlusselaustausch und Shamirs No-Key Protocol anfal- 
lig gegen Man-In-The-Middle-Attacken, sobald ein Angreifer in der Lage ist, Nachrichten zu erzeu- 
gen bzw. abzufangen und zu ersetzen. Das Problem kann durch ein zusatzliches Authcntifizierungs- 
Protokoll behoben werden. 

7 Zusammenfassung 

In dieser Arbeit wurden zwei kryptographische Verfahren eingefuhrt, die aus dem homomorphen 
Kryptosystem von Paillier basieren. 

Das Signaturschema von Paillier wurde mit dem gleichen Prinzip von David Chaum fur blinde 
RSA-Signaturen in ein blindes Signaturschema umgewandelt. Dabei blendet man eine Nachricht 
m mit einem zufallig gewahlten Residuum x r \ bevor sie zum Signierer geschickt wird. Wenn man 
dann die Signatur der geblendeten Nachricht bekommt, muss nur der zweite Signaturteil mit 
x^ 1 mod n multipliziert werden, um die Signatur der urspriinglichen Nachricht m zu haben. 

Das hier entwickelte No-Key-Protokoll wurde durch die homomorphe Eigenschaft des Paillier- 
Vcrfahrcns ermoglicht. Im Gegensatz zu dem No-Key-Protocol von Shamir muss nur der Sender 
ver- und entschliisseln. Der Empfanger wahlt zufallig eine mit n teilerfremde Zahl und berech- 
net nur cine modulare Potenz und am Schluss die Multiplikation mit einer modularen Inversen. 
Das Protokoll ist anfallig gegen Man-In-The-Middle-Attacken und benotigt daher zusatlich eine 
Authcntifizicrung. Eine andere Losung bieten Quanten-Algorithmen. In [5] und [5] sind Quantum 
No-Key-Protocols vorgestellt worden, die gegen Man-In-The-Middle-Attacken resistent sind, weil 
das Abhoren des Kanals aufgrund quantenmechanischer Gesetze leicht zu bemerken ist. 

Des Weiteren wurde festgestellt, dass die Einweg-Fallturpermutation zwar theoretisch bijektiv ist 
und den Expansionfaktor verbessert, jedoch auf Kosten der Korrektheit. Sie kann namlich nicht fur 
alle Klartexte korrekt sein. Die Korrektheit ist fur eine Nachricht m G Z„2 nur dann gewahrleistet, 
wenn sich m in (7711,7712) darstellen lasst, wobei mi < n und ggT(mi,n) = 1 gelten miissen. 
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9 Notationen 

kgV(a, b): kleinstes gemeinsames Vielfaches von a und b 
ggT(a, b): grofiter gemeinsamer Teiler von a und b 

n = pq: RSA-Zahl, wobei p und q zwei ungleiche grofie Primzahlen sind 
4>{n): Eulersche 0-Funktion von n 

X(n) = kgV(p — 1, q — 1): Carmichaelfunktior0 von n 

ord(g) = min(\e : g e mod n 2 = l}): Ordnung von g modulo n 2 

[[w]]: Residuenklasse von w 
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2 Aus Ubersichtlichkeitgriinden wird in dieser Arbeit A(n) nur noch mit A bezeichnet, falls nichts anders erwahnt 
wird. 
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